OpenSSL 0.9.8k обновления к OpenSSL 1.0.1c на Ubuntu 10.04
Я делегировал бы это на язык бэкенда (как php, например) и использовал бы заголовок X-Accel-Redirect оттуда.
Ваш бэкенд может говорить с базами данных или файловыми системами все, что требуется; фактическое кормление с ложечки клиентов делегировано назад к nginx - довольно хорошая установка.
обновление openssl только ухудшит положение, а не улучшит его. Вам нужно получить список CVE, которые касаются того, кто проходит сертификацию PCI. Затем вы можете для каждого из этих CVE показать им, что Ubuntu выполняет резервное копирование исправлений для устранения этих CVE.
Вот трекер безопасности Ubuntu . Вы должны иметь возможность разместить CVE на этом сайте и узнать, что Ubuntu устранила проблему и когда.
Например, самая последняя версия openssl CVE задокументирована здесь , и это ссылка на уведомление Ubuntu об исправлении этой уязвимости .
Компания, проводящая сертификацию PCI, ДОЛЖНА принять такую документацию.
Если вам нужно обновить OpenSSL, вы можете либо обновить всю вашу ОС, чтобы новая версия OpenSSL была на месте через поддерживаемые ОС, либо рискнуть по извилистой и часто проблемной путь установки из исходного кода или с использованием стороннего репозитория пакетов.
Возможно, вам вообще не нужно обновляться. Имейте в виду, что исправления безопасности из новых версий переносятся в старые пакеты. Сканирование безопасности часто дает ложные срабатывания из-за того, что они полагаются на простую проверку номера версии; журнал изменений пакета показывает, что он регулярно получает обновления безопасности. Прежде чем тратить кучу времени и усилий на обновление, убедитесь, что вы действительно уязвимы для полученных результатов.